Panduan 10 Poin untuk Membangun Keamanan Siber Rantai Pasokan

Ketika rantai pasokan global menjadi semakin digital, perusahaan menghadapi risiko dari beberapa sumber tidak langsung. Sistem hanya sekuat tautan terlemahnya, dan peretas akan berburu dengan cermat untuk mengungkap komponen yang rentan.

Eksploitasi ini datang dengan harga tinggi. Menurut Laporan Biaya Keamanan Data Pelanggaran IBM, $5,52 juta adalah total biaya rata-rata pelanggaran untuk perusahaan dengan lebih dari 25.000 karyawan dan $2,64 juta untuk organisasi di bawah 500 karyawan. Sebagian besar perusahaan membayar peretas dengan uang tebusan yang mereka minta. Musim panas ini, Colonial Pipeline Co. dan JBS SA masing-masing membayar peretas sebesar $4,4 juta dan $11 juta untuk memulihkan data terenkripsi setelah serangan siber besar-besaran.

Dampak lainnya termasuk layanan pelanggan yang terganggu, kepercayaan yang berkurang, dan hilangnya keunggulan kompetitif.

Penjahat dunia maya menghindari hambatan dan mengidentifikasi kelemahan untuk mengeksploitasi rantai pasokan secara lebih efektif daripada sebelumnya. Dalam kasus Colonial Pipeline, peretas menyalahgunakan profil jaringan pribadi virtual (VPN) lama yang hanya memerlukan autentikasi satu faktor.

Serangan tidak hanya melumpuhkan perusahaan tetapi juga melukai pelanggan. Delapan puluh persen pelanggaran melibatkan informasi identitas pribadi (PII). Peretas menggunakan PII dan kata sandi untuk mengakses berbagai akun individu di seluruh web. Selain itu, setiap putusnya rantai pasokan — baik itu bisnis Anda atau vendor pihak ketiga atau keempat — berdampak pada produksi barang dan jasa sekaligus juga menaikkan harga.

Dalam CrowdStrike Security Report — survei terhadap lebih dari 1.000 peserta — dua pertiga pembuat keputusan senior TI dan profesional keamanan siber mengungkapkan bahwa organisasi mereka telah mengalami serangan rantai pasokan perangkat lunak. Nomor yang sama mengaku bahwa perusahaan mereka tidak cukup siap untuk bertahan terhadap pelanggaran di masa depan. Bisnis harus proaktif dan fokus membangun ketahanan dunia maya untuk mencegah eksploitasi.

Institut Standar dan Teknologi Nasional (NIST), bagian dari Departemen Perdagangan Amerika Serikat, merekomendasikan langkah-langkah berikut untuk mengamankan aset TI dengan benar.

Identifikasi

Temukan potensi vektor ancaman — rute yang mungkin diambil oleh serangan berbahaya untuk melewati pertahanan Anda dan menginfeksi jaringan Anda — dengan melakukan penilaian risiko dan kerentanan internal. Pertimbangkan untuk menyewa perusahaan untuk melakukan penilaian lanjutan.

Perlindungan

Ambil tindakan yang diperlukan untuk melindungi organisasi Anda dan mencegah peristiwa ancaman:

• Pengurangan paparan. Selain perlindungan dasar yang diberikan oleh firewall dan perangkat lunak antivirus, sangat penting untuk menetapkan prosedur akses istimewa. Ikuti prinsip hak istimewa terkecil — hanya karyawan yang membutuhkan akses ke data sensitif yang diizinkan mengakses.

Alat seperti analitik perilaku, deteksi dan respons titik akhir (EDR), kecerdasan buatan (AI), dan kecerdasan ancaman dapat memperkuat pertahanan. Perusahaan harus mengadopsi praktik pengkodean yang aman dan mengacu pada Open Web Application Security Project (OWASP) Sepuluh Risiko Keamanan Aplikasi Web Teratas.

• Komitmen dan pelatihan karyawan. Karyawan adalah garis pertahanan terakhir dalam keamanan siber dan salah satu vektor ancaman paling umum. Sangat penting untuk melibatkan setiap karyawan; suite eksekutif tidak dikecualikan. Membangun budaya kecurigaan yang sehat di antara karyawan. Pendekatan ini mungkin tampak terlalu paranoid, tetapi taruhannya bisa tinggi.

Lembagakan pelatihan kesadaran dan kampanye phishing internal untuk memaparkan karyawan pada spam terbaru dan teknik rekayasa sosial. Setiap karyawan yang terjerumus dalam kampanye phishing harus segera diminta untuk menjalani pelatihan. Tanamkan budaya kata sandi yang kuat di mana karyawan memiliki kata sandi yang bervariasi dan aman. Pastikan mereka memahami bahwa jika sandi dibobol di satu tempat, peretas dapat menggunakannya di akun lain yang terkait dengan email yang sama dan relatif mudah.

Ada banyak sekali sumber daya keamanan siber yang bermanfaat (dan gratis) yang tersedia untuk melengkapi pembelajaran karyawan dan terus memperbarui tren industri terbaru seperti modul pelatihan virtual yang disediakan oleh Departemen Dalam Negeri AS Keamanan.

• Asuransi. Pastikan Anda memiliki asuransi yang memadai jika terjadi serangan. Beberapa penyedia asuransi menyertakan perlindungan ransomware. Tanyakan tentang hal-hal apa saja yang tidak tercakup dalam serangan siber.
• Keamanan fisik . Lindungi personel, perangkat keras, perangkat lunak, jaringan, dan data dari pelanggaran dan tindakan fisik. Pertimbangkan solusi seperti kamera pengintai, penjaga keamanan, sistem keamanan, penghalang, kunci, kartu kunci akses, alarm kebakaran, alat penyiram, dan sistem lain yang dirancang untuk melindungi karyawan dan properti.

Hati-hati terhadap membonceng. Memegang pintu terbuka untuk seseorang yang berjalan ke kantor dengan tangan penuh mungkin tampak sopan, tetapi itu menimbulkan ancaman keamanan. Pastikan setiap orang yang memasuki lokasi perusahaan adalah personel yang berwenang.

• Hubungan bisnis selektif . Serangan siber melalui jaringan pemasok menjadi semakin umum. Menurut Studi Organisasi Ketahanan Siber 2020 oleh Ponemon Institute, 56% organisasi melaporkan bahwa mereka telah mengalami pelanggaran keamanan siber yang disebabkan oleh pemasok pihak ketiga. Dalam menentukan tingkat risiko yang dapat diterima, selektiflah saat memilih kontraktor atau mitra untuk bekerja dengan perusahaan Anda.
• Pelaporan insiden . Menanamkan budaya dan pendidikan yang baik untuk melaporkan insiden. Profesional TI lebih mampu mengurangi potensi kerusakan jika mereka mengetahuinya lebih cepat.

Deteksi

Dikatakan bahwa rumah tanpa detektor asap sama dengan jaringan tanpa pemantauan. Pemantauan berkelanjutan untuk peristiwa keamanan harus mencakup lingkungan fisik, jaringan, penyedia layanan, dan aktivitas pengguna. Pemindaian kerentanan adalah alat yang hebat dan harus dilakukan secara teratur pada sistem yang berisi informasi sensitif.

Tanggapan dan Pemulihan

Korelasi terlihat jelas antara waktu respons dan biaya serangan. Industri yang membutuhkan waktu paling lama untuk mendeteksi, bereaksi, merespons, dan memulihkan akan dikenakan biaya tertinggi. Respon cepat dapat membantu mengurangi dampak. Namun, itu tidak bisa menghilangkan kemungkinan, jadi selalu ada penekanan pada pencegahan.

Rencana pemulihan bencana sangat penting untuk memulihkan akses data dan infrastruktur TI setelah bencana. Pemulihan tergantung pada cakupan kerusakan.

Bagan rencana respons dan peta jalan remediasi untuk semua skenario insiden potensial dalam bentuk rencana kesinambungan bisnis. Sertakan taktik yang akan membuat bisnis tetap beroperasi selama bencana. Tentukan kekritisan vendor dan tindakan jika vendor utama diserang. Mintalah pemasok cadangan dan cadangan untuk cadangan Anda jika Anda perlu beralih ke penyedia lain untuk mengakomodasi pelanggan.

Sebagai bagian dari rencana pemulihan bencana yang efektif, disarankan untuk mensimulasikan pelanggaran keamanan siber minimal setahun sekali. Melalui latihan ini, personel terkait memahami peran mereka dan prosedur yang harus diikuti.

Keamanan siber akan menjadi hambatan utama bagi bisnis dari semua ukuran karena rantai pasokan menjadi lebih kompleks. Identifikasi tautan yang lemah dalam rantai pasokan untuk memastikan kerentanan diminimalkan dan untuk mencegah peristiwa ancaman. Membangun ketahanan siber akan mempersiapkan perusahaan Anda untuk skenario terburuk yang akan lebih mahal dan merusak.

Marc Lewis adalah kepala keamanan informasi di Visible Supply Chain Management.